COMISARIA GENERAL DE POLICÍA JUDICIAL U.D.E.F. CENTRAL BRIGADA DE INVESTIGACIÓN TECNOLÓGICA Jefe del Grupo de Seguridad Lógica Inspector Pablo Alonso Comisaría General de Policía Judicial ORGANIZACIÓN OPERATIVA BRIGADA DE INVESTIGACIÓN TECNOLÓGICA SECCIÓN OPERATIVA I SECCIÓN OPERATIVA II PROTECCIÓN AL MENOR I y II FRAUDES EN INTERNET I y II FRAUDE A LAS TELECOMUNICACIONES SEGURIDAD LÓGICA REDES ABIERTAS PROPIEDAD INTELECTUAL SECCIÓN TÉCNICA INFORMES APOYO TÉCNICO FORMACIÓN ESTUDIOS I+D ¿Que es la seguridad? La seguridad informática se encarga de la identificación de las vulnerabilidades de un sistema y del establecimiento de contramedidas que eviten que las distintas amenazas posibles exploten estas vulnerabilidades. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA CONCEPTO DE SEGURIDAD “Proceso consistente en mantener un nivel aceptable de riesgo percibido” Richard Bejtlich. El Tao de la monitorización de seguridad en redes Eventualmente TODO sistema de seguridad FALLARÁ. Objetivos de la seguridad • Garantizar el CID – Confidencialidad: Que nadie más lo vea – Integridad: Que nadie más lo cambie – Disponibilidad: Que siempre esté ahí • Implantar las reglas de Oro – Autenticación: Quién es – Autorización: Qué puede hacer – Auditoría: Qué ocurrió • Asegurar el No Repudio – Que nadie pueda decir que él NO FUE Conceptos Básicos •Vulnerabilidad. –Punto o aspecto del sistema o sus aplicaciones que es susceptible de ser atacado o de dañar la s e g u r i d a d d e l m i s m o . Re p r e s e n t a n l a s debilidades o aspectos falibles o atacables en un sistema informático. •Amenaza. –Posible peligro para el sistema. Puede ser una persona (hacker), un programa (virus, caballo de Troya, ...), o un suceso natural o de otra índole (fuego, inundación, etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del sistema. •Contramedida. –Técnicas de protección del sistema contra las amenazas. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Seguridad Informática CARACTERISTICAS A GARANTIZAR •Disponibilidad –El sistema se mantiene funcionando eficientemente y es capaz de recuperarse rápidamente en caso de fallo. •Integridad –Permite asegurar que no se ha falseado la información, es decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación. •Confidencialidad –Capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Seguridad Informática OTROS ASPECTOS •Autenticidad –Permite asegurar el origen de la información. La identidad del emisor puede ser validada, de modo que se puede demostrar que es quien dice ser. •Consistencia –Asegurar que el sistema se comporta como se supone que debe hacerlo con los usuarios autorizados •Aislamiento –Regular el acceso al sistema, impidiendo que personas no autorizadas entren en él. •Auditoria –Capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema, y quién y cuándo las han llevado a cabo. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Seguridad Informática PRINCIPIOS FUNDAMENTALES •Principio de menor privilegio – Cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más. •Principio del eslabón más débil – En todo sistema de seguridad, el máximo grado de seguridad no es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabón más débil. •Punto de control centralizado – Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Seguridad Informática PRINCIPIOS FUNDAMENTALES • Seguridad en caso de fallo – Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. • Participación universal – Cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperlo. • Simplicidad – Mantener las cosas lo más simples posibles, las hace más fáciles de comprender mientras que la complejidad permite esconder múltiples fallos. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Seguridad Física y Ambiental • La norma ISO establece dos categorías: –Áreas Seguras: Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organización. –Seguridad en los equipos: A fin de impedir la perdida, daño o robo de la información. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. • Distingue tres fases: –Antes de la contratación. –Durante el desarrollo del empleo. –En el cese o cambio de puesto de trabajo. Antes de la contratación. –Se deben definir y documentar los roles y responsabilidades en seguridad describiendo el puesto de trabajo de acuerdo al documento de políticas de seguridad. –Se deben investigar los antecedentes y referencias del candidato. – L o s r o l e s , r e s p o n s a b i l i d a d e s , términos y condiciones del puesto de trabajo deben figurar en el contrato. Durante la contratación. – Informar, concienciar y motivar a los empleados para el cumplimiento de los términos y condiciones establecidos en materia de seguridad. – Formar y capacitar al personal sobre sus funciones y procedimientos respecto de la seguridad. – Fijar y documentar un régimen disciplinario para las infracciones en materia de seguridad En el cese o cambio de puesto de trabajo. – Se deben definir y documentar los roles y responsabilidades tras el cese incluyendo cualquier cuestión relacionada con los acuerdos de confidencialidad. – Fijar procedimientos de devolución de todo el material proporcionado por la organización. En caso de equipos cedidos o vendidos al trabajador garantizar la limpieza de los equipos. – Retirar los derechos de acceso que pudieran habérsele otorgado. – Los cambios de puesto de trabajo deben tratarse como si fueran un cese y una nueva contratación. MEDIDAS DE PROTECCIÓN ADMINISTRATIVAS Y ORGANIZATIVAS • El establecimiento de una política de seguridad • El análisis de riesgos y los planes de contingencia • La asignación de responsabilidades • La política de personal POLÍTICAS DE SEGURIDAD • a) Ninguna seguridad • La medida más simple posible es no hacer ningún esfuerzo en seguridad y tener la mínima, cualquiera que sea, por ejemplo la que proporcione el vendedor de forma preestablecida. • b) Seguridad a través de ser desconocido • Con este planteamiento se supone que un sistema es seguro sólo porque nadie sabe de él. • c) Seguridad para anfitrión • El modelo plantea reforzar la seguridad de cada máquina anfitrión por separado, y hacer todo el esfuerzo para evitar o reducir los problemas de • seguridad que puedan afectar a ese anfitrión específico. • d) Seguridad para redes • Conforme los entornos se hacen más grandes y diversos, es más difícil • asegurar anfitrión por anfitrión, por ello ahora se tiende hacia un modelo • de seguridad para redes La seguridad requiere una visión global DINÁMICA DE LA SEGURIDAD La Seguridad NO es un proceso puntual, es un proceso CONTINUO. Estimación Respuesta Protección Detección RIESGO PARA LAS ORGANIZACIONES Riesgo = Amenaza x Vulnerabilidad x Valor del bien Amenaza Pasiva: Confidencialidad (sniffer) Amenaza Activa: Cambian el estado del sistema ¿Que es una intrusión? Es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Se definen o clasifican a partir de una política de seguridad. •Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos. •Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado. TIPOS DE ATAQUES •Ataques contra la Disponibilidad –Denegación de Servicios DOS, DDOS •Ataques contra la Integridad –Defacement. •Ataques contra la Confidencialidad –Fuerza Bruta, Robo de Credenciales, Robo de cookies, Robo de información técnicas de inyección. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Denegación de servicio • Ataque DOS: Colapsar un sistema sobrecargándolo de peticiones, de forma que sus usuarios legítimos no puedan acceder. • Ataque DDOS: es un ataque DOS distribuido. Se usan múltiples equipos “zombis” que lanzan el ataque simultáneamente. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Botnets • E l t e r m i n o “ b o t n e t ” h a c e referencia a una red de bots (originalmente robots de IRC que simulaban una identidad dentro de un canal). •Sus funciones originales eran el control de canales y la simulación de participantes en juegos multijugador. • A c t u a l m e n t e s e u s a n esencialmente para Ataques de DDoS, envío de (SPAM), alojar herramientas y componentes destinados al fraude (Phising), manipulación de encuestas, votaciones y juegos online y distribución de malware. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA CRIMEWARE Tipo de programa diseñado específicamente para cometer delitos (crímenes) de tipo financiero o similares, intentando pasar desapercibido por la víctima. Por extensión, también hace referencia a aplicaciones web diseñadas con los mismos objetivos. Un crimeware puede robar identidades, datos confidenciales, contraseñas, información bancaria, etc. También puede servir parta robar la identidad o espiar a una persona o empresa. El término fue ideado por Peter Cassidy, Secretario General del Anti-Phishing Working Group, para distinguir este tipo de software de otros malignos como malwares, spywares, adwares, etc. (Aunque muchas veces éstos emplean técnicas similares para propagarse o actuar). La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet. BLACK HOLE EXPLOITS KIT Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto. Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente. BLACK HOLE EXPLOITS KIT ¿QUÉ SE BUSCA EN UN ATAQUE? • Objetivos de un ataque: –Denegación de Servicio (DoS). –Robo de la información (BBDD, propiedad industrial…). –Destruir / dañar información. –Controlar la máquina objetivo (BotNets, SPAM, DDoS). TIPOS DE VULNERABILIDADES • Técnicas (bug) – – – – – – – – – Cross Site Scripting Inyección SQL Inyección de comandos Falsificación de frames Desbordamiento de búfer Listado directorios Archivos/directorios backup Archivos de configuración Etc. • Lógicas o funcionales (flaw) – Autenticación defectuosa – Fallos en lógica de negocio: no se valida un número de tarjeta o de cuenta – Modificación de precios – Modificación de cookies – Escalada de privilegios horizontal/vertical – SSL no requerido – Criptografía pobre – Info++ en mensajes de error – Etc. • MODELO DE ESTRUCTURA DE RED INTERNET EL ATAQUE A SERVICIOS WEB CON TECNICAS SQL INJECTION Usuario malicioso “la primera password de la tabla de usuarios es ’6h4r15B’” passwd=xyz &rid=3’+union+select+top+1 +password+from+usuarios=‘1& “dame la primera password de la tabla que almacena las cuentas de usuarios” Tecnicas de Inyección . El uso de tecnicas de inyección, particularmente la inyección de SQL, son muy frecuentes en todo tipo de incidentes de seguridad en aplicaciones web. • Ocurre cuando los datos proporcionados por el usuario se envían a un interprete como parte de un comando o consulta sin validarlos. • El atacante puede manipular la entrada para forzar al interprete a ejecutar otras consultas extrayendo o modificando los registros de la base de datos. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Ejemplos de SQL Inyection • ‘ OR ‘1’=‘1 • ‘;UPDATE usuarios SET (password) VALUES (md5 (‘mipass’)) where user=‘admin • ‘ EXEC master..xp-cmdshell ‘cmd BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Soluciones. • Validación de entrada: Comprobar longitud, tipo, sintaxis … de todos los datos de entrada antes de ser mostrados o almacenados. • Permitir los mínimos privilegios necesarios a las aplicaciones que conectan a bases de datos. • Evitar mensajes de error detallados. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Cross Site Scripting (XSS) • El Cross site scripting, también conocido como XSS, es un tipo de inyección HTML que se produce cuando una aplicación toma datos introducidos por el usuario y los envía al navegador sin validarlos o codificarlos. • El script malicioso suele estar construido en JavaScript pero existen variantes en otros lenguajes de script. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Cross Site Scripting (XSS) • Permite al atacante ejecutar código en el navegador de la victima. • Sus finalidades pueden ser: –Desfigurar una web (“Deface”) –Insertar contenido inadecuado. –Robo de sesiones –Ataques de suplantación (“Phising”) –Tomar el control del navegador BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA Soluciones. • Validación de entrada: • Usar un mecanismo de validación de entrada que compruebe longitud, tipo, sintaxis … de todos los datos de entrada antes de ser mostrados o almacenados. • Codificación de salida: • Codificar los datos de forma apropiada. (ej, HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable. BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA ¿Qué es un exploit? Es una pieza de software, un fragmento de datos, o una secuencia de comandos cuyo objetivo es automatizar el aprovechamiento de una vulnerabilidad. Ejemplo de exploit Troyanos LA CREACIÓN DE TROYANOS En 4 simples pasos: Diseño Ocultación Verificación Distribución Creación de un troyano Mediante el uso de “packers” comerciales o gratuitos Creación del Software La Ingeniería Inversa La Ocultación CREACIÓN DE TROYANOS Las Técnicas de ocultación “Packers” comerciales: ASPack Armadillo ASProtect FSG EXECryptor NSPack UPack Telock MEW PECompact RUSSIAN BUSINESS NETWORK (Equipos a prueba de balas) • RBN, ofrece una completa infraestructura para los ciberdelitos. Phishing, malware, ataques DDoS, pornografía infantil…etc son soportados por este ISP ruso. Para ello, se pone a disposición del cliente varias botnets, shells remotas en servidores crackeados, servidores centralizados de gestión de estas actividades…etc. • La RBN se encuentra en S. Petersburgo (Rusia) y proporciona alojamiento web. Su actividad está tan íntimamente relacionada con la industria del malware, que muchos nodos han decidido bloquear directamente toda conexión con direcciones pertenecientes a esta red. Y no sólo malware. Se dice que la mitad del phishing mundial está alojado impunemente en alguno de sus servidores. • En los últimos años no es fácil encontrar un incidente criminal a gran escala en la que no aparezcan por algún sitio las siglas RBN (o "TooCoin" o "ValueDot", nombres anteriores con los que ha sido conocida). RUSSIAN BUSINESS NETWORK (Equipos a prueba de balas) Ejemplo de ataque Usuario malicioso CONSEJOS GENERALES • • • • • • • • • • • • • • Deshabilitar servicios y cuentas no utilizados. Actualización de S.O. y aplicaciones (parches). Uso de “buenas” contraseñas. Utilización de Firewalls Chequeo de integridad de aplicaciones y S.O. Back-ups periódicos. Análisis periódico de logs, monitorizar y graficar estadísticas. Auditar con escaners de vulnerabilidades Consultar Listas de vulnerabilidades Limitar y controlar uso de programación del lado del cliente (javascript) Técnicas de defensa a fondo y puntos de choque en redes Limitar tiempo querys Desarrollo seguro de aplicaciones web. Encriptación del tráfico BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA CONTACTO •BRIGADA DE INVESTIGACIÓN TECNOLÓGICA •C\ Julian Gonzalez Segador s/n 28.043 Madrid •Tfno. 91/582.24.67 •Fax. 91/582.24.84 •Web: http://www.policia.es/bit/index.htm •E-mail: seguridad.logica@policia.es palonso@policia.es BRIGADA DE INVESTIGACIÓN TECNOLÓGICA CUERPO NACIONAL DE POLICIA